Y4tacker的博客

文章目录题目环境分析两个重要的Trick探索开始如何利用org.apache.jasper.compiler.StringInterpreter加载恶意类到JVM梳理利用思路结果题目环境JDK8u311Tomcat9.0.56分析首先拿到这个源码我们看什么 <servlet> <servlet-name>ExportServlet</servlet-name> <servlet-class>org.rwctf.se

文章目录写在前面Wp简单分析小实验验证猜想可效性构造tar参考文章写在前面在各种带飞的情况下，web被带ak了，这里比较想写一个easyphp的wp，这题到结束也只有14个解，其他的懒得写了，本文也只是简单分析Wp简单分析看看首页源码再看这里很明显是触发phar反序列化如何插入数据是一个问题，这里没有上传，再看log.php关键部分源码是这个，我们就应该去想如何去构造，这里phar太难搞了，具体可以看看官方文档关于他的结构，后面最后四位肯定是GBMB多一位都不行，这里想到了tar，本来

文章目录写在前面WebCross The SideCheckin_GoOnly 4 （非预期解法）Only 4 （预期解法）NO SQLEasyCurl写在前面这次拿了第一还是比较开心的，一晚上没睡觉…WebCross The Side版本信息Laravel v8.26.1 (PHP v7.4.15)目录扫描应该是开启了redis联系版本号，尝试debug-rce既然有file_get_contents与file_put_contents,尝试ftp passivemode 成功出

文章目录Webnotebooknotebook2明天早上继续Webnotebook首先我们能看到文件，在urls.py里面查看路由我第一眼锁定了这个os.path.join函数如果参数是/flag那么后面经过函数处理就会是flag因此我们只需要传入{{/flag.txt}}按理说应该就能够得到flag，但是很不幸不可以在创建的时候这里进行了替换这里将..替换为空{{替换为空但这里因为先后顺序很明显有一个逻辑漏洞，因此我们只需要构造{..{/flag.txt}..}即可绕过读取

文章目录web签到unset慢慢做管理系统web签到一个最近刚爆出来的php后门，直接一把梭User-Agentt: zerodiumsystem("cat /flag");unset一开始百度搜一下发现是fatfree框架，然后github一瞬间获取源码，本地搭建发现报错嘻嘻syntax error, unexpected '.', expecting :: (T_PAAMAYIM_NEKUDOTAYIM) [G:\phpstudy_pro\WWW\yyds.top\lib\base.ph

文章目录little_trickfaka_revengeEasy_Tomcatbbxhh_revenge非预期预期little_trick打开环境发现代码是这个，太简单了，签到题<?php error_reporting(0); highlight_file(__FILE__); $nep = $_GET['nep']; $len = $_GET['len']; if(intval($len)<8 && strlen($nep)&lt

文章目录前言Ez_gamenaiverealezjvavEasy_laravel前言这次比赛题目质量很好，本菜鸡做出了两道web题目，还是比较开心，只是赛后复现laravel一天半也没有成功，我好自闭啊Ez_game在game.js里面发现,直接放到console里面跑，得到flag["\x66\x69\x6c\x74\x65\x72"]["\x63\x6f\x6e\x73\x74\x72\x75\x63\x74\x6f\x72"](((['sojson.v4']+[])["\x63\x6f\x6

[VNCTF 2021]naive拿了一个二血开心亮点nodeJs的ES6特性import及其动态加载特性Wp首先打开题目是一个计算器，以为是常规的审计Node去实现逃逸啥的，后来发现不是在源代码当中发现，存在任意文件读取，先放一边app.use("/source", (req, res) => { let p = req.query.path || file; p = path.resolve(path.dirname(file), p); if (p.includes("

第一届四叶草网络安全学院牛年CTF大赛WRITEUP队伍信息战队名称战队成员姓名：Firebasky、Y4tacker、lastsward、atao、m1n9yu3解题情况战队排名答题情况WebWebGET首先传?flag=1，发现似乎是smarty，测试{$smarty.version}，成功过滤cat，用tac发现是smarty注入简单了那就flag={if passthru(“tac fl*”)}{/if}即可获得flagWEBsite首先打开页面看到接收url参数，是ssrf考

文章目录WebbaseWechatWebbase首先进去发现http://10xxx01/?user=QgcAYAbgbw，后面参数不对劲，尝试base全家桶操作失败，之后经过一番尝试发现每两个一位翻译成了字符，又看到robots.txtUser-agent: *Disallow: /base.txt继续访问得到编码，为了后面方便决定把他组合成一个字典import requestsres="{"with open("1.txt", 'r') as f: a = f.readl

文章目录前言veryphp虎山行&虎山行's revengespaceman非预期预期(推荐不要看)有手就行参考文章前言这次比赛也很开心，学到了挺多东西，谢谢师傅们的出题veryphp打开环境代码审计，一堆过滤恶心，还好可以一层一层套下去<?phperror_reporting(0);highlight_file(__FILE__);include("config.php");class qwq{ function __wakeup(){ die("

文章目录[ACTF2020 新生赛]Include[ACTF2020 新生赛]Exec[ACTF2020 新生赛]Upload[ACTF2020 新生赛]BackupFile[ACTF2020 新生赛]Include打开环境，点击tips出现Can you find out the flag?观察到浏览器url的后缀变化?file=flag.php因此不难得到，应该用伪协议进行编码读取http://a7631c34-a214-4e36-9184-e1957ecc34c6.node3.buuo

前言看到群里又那么多小伙伴想要一份WP，那就写一下吧，其实在我的网站上也有，只是比较简陋，这里比较详细的写一份吧，希望大家一起加油！！！开始写了预计今晚完成

文章目录签到_观己web1_观字参考文章前言：希望自己能一天天逐渐的改变签到_观己首先我尝试了一波data伪协议发现被禁止了，想了半天结果忘记了日志包含了害file=/var/log/nginx/access.log尝试在UA中放入一句话木马芜湖，起飞！system("ls /");结束web1_观字代码审计,题目的意思是想我们通过curl http://192.168.7.68/flag的回显得到flag,但是.被过滤了，然后我想到了把ip转换为数字，192.168.1.100

文章目录1024_WEB签到1024_图片代理1024_fastapi姿势一姿势二参考文章1024_WEB签到代码审计，唯一利用点call_user_func，一般都是需要两个参数(可以看看官方文档你就知道我的意思了),但是本题只给了我们传入一个参数的选择，那么他必定是无参数的函数，加上这个是一道签到题，所以不难得出看看phpinfo里面到底有啥<?php/*# -*- coding: utf-8 -*-# @Author: h1xa# @Date: 2020-10-20 23:5

文章目录前言Wallbreaker 2020douyin_video(攻破中)参考链接前言这是我第一次参加的比赛，两天时间一道题都没做出来，害有点小难受，希望能够将WP记录好，方便以后的复习查阅Wallbreaker 2020官方的预期解还没有出来难受，期待决赛后出预期解！！！一开始我自己打开题目发现看起来不是特别难的亚子，首先查看了phpinfo，接下来我进入了蚁剑，但是发现除了html目录下可读，tmp目录下可读可写，然后我想到了利用glob进行文件的读取http://123.57.9